作者|許振慧「 中國建設(shè)銀行(6.490, -0.05, -0.76%)內(nèi)控合規(guī)部」
當前,打贏新型冠狀病毒感染肺炎疫情防控阻擊戰(zhàn)是一切工作的重中之重,疫情防控工作涉及醫(yī)療救治、物質(zhì)保障、疫苗研發(fā)、信息披露、交通運輸、科研攻關(guān)、公眾管理、宣傳教育、對外聯(lián)絡(luò)等多個方面,是一項系統(tǒng)性工程。對于金融行業(yè)來講,進一步加強金融機構(gòu)業(yè)務(wù)連續(xù)性管理,抓實抓細金融行業(yè)連續(xù)性管理是迫在眉睫的課題,同時也是完善金融治理體系、防范系統(tǒng)性金融風(fēng)險的重要內(nèi)容之一。
金融機構(gòu)業(yè)務(wù)連續(xù)性運行的基本架構(gòu)涵蓋重大金融基礎(chǔ)設(shè)施、商業(yè)銀行、證券、保險等金融服務(wù)、非銀行機構(gòu)服務(wù)、網(wǎng)絡(luò)供應(yīng)商網(wǎng)絡(luò)服務(wù)、科技公司技術(shù)支持、電力供應(yīng)等多個方面,涉及面廣泛,與經(jīng)濟穩(wěn)定運行、人民生活同樣息息相關(guān),而且對整合性運行效率要求也比較高。近幾年,金融監(jiān)管機構(gòu)高度重視業(yè)務(wù)連續(xù)性管理,出臺了多項業(yè)務(wù)連續(xù)性管理的政策文件,各家金融機構(gòu)也基本建立了相應(yīng)的管理體系,基本管理架構(gòu)是健全的,各類應(yīng)急預(yù)案也是較為完整的。但是,金融機構(gòu)應(yīng)急體系尚未經(jīng)歷大的考驗,如大面積地震、洪水、海嘯等自然災(zāi)害的考驗,尚未經(jīng)歷重大信息科技突發(fā)事件的考驗,如主要網(wǎng)絡(luò)癱瘓、重大數(shù)據(jù)丟失、大范圍計算機病毒傳染、嚴重網(wǎng)絡(luò)攻擊等人為因素造成的重大突發(fā)事件。特別是隨著信息技術(shù)的快速發(fā)展、廣泛應(yīng)用,有效防范人為因素造成的重大黑天鵝事件,對金融機構(gòu)業(yè)務(wù)連續(xù)性管理提出了更高要求。
當前金融業(yè)務(wù)連續(xù)性管理需關(guān)注的主要短板與不足
業(yè)務(wù)預(yù)案與技術(shù)預(yù)案的銜接尚不夠緊密。當前金融機構(gòu)業(yè)務(wù)處理都是IT化的,重要業(yè)務(wù)系統(tǒng)一般都建立了應(yīng)急預(yù)案,包括業(yè)務(wù)應(yīng)急與技術(shù)應(yīng)急。發(fā)生重大突發(fā)事件,更多地依賴技術(shù)應(yīng)急處理,對于業(yè)務(wù)與技術(shù)應(yīng)急如何銜接、如何進行應(yīng)急業(yè)務(wù)處理,往往缺乏更有效更細致的應(yīng)急措施,一旦技術(shù)難以及時恢復(fù),業(yè)務(wù)處理基本處于癱瘓狀態(tài)。對于基礎(chǔ)臺賬信息留存與管理、數(shù)據(jù)備份、業(yè)務(wù)對賬、客戶回應(yīng)等與技術(shù)應(yīng)急的銜接與恢復(fù)都需要進一步細化和加強。
跨機構(gòu)、跨系統(tǒng)聯(lián)動性應(yīng)急演練不足。金融機構(gòu)業(yè)務(wù)系統(tǒng)互聯(lián)互通更為緊密,系統(tǒng)運行既涉及本機構(gòu)基礎(chǔ)數(shù)據(jù)庫、重要業(yè)務(wù)系統(tǒng),又涉及為金融機構(gòu)提供基礎(chǔ)保障的重大基礎(chǔ)設(shè)施,如大小額支付系統(tǒng)、銀聯(lián)系統(tǒng)、債券登記系統(tǒng)、證券交易系統(tǒng)等,同時涉及網(wǎng)絡(luò)供應(yīng)商等外部基礎(chǔ)設(shè)施,目前的應(yīng)急演練更多地側(cè)重單一系統(tǒng)、單一機構(gòu)的應(yīng)急演練,涉及互聯(lián)互通性的更高層級、更大范圍的應(yīng)急演練不足,聯(lián)動性應(yīng)急演練不足,一旦發(fā)生聯(lián)動性計算機病毒植入,如何進行風(fēng)險隔離,如何聯(lián)動進行應(yīng)急處理都需要更為深入的演練。
應(yīng)對大范圍網(wǎng)絡(luò)攻擊、計算機病毒植入的技術(shù)儲備管理體系尚需完備。由于業(yè)務(wù)處理的聯(lián)動性、耦合性,金融機構(gòu)間風(fēng)險傳染更為直接。目前金融機構(gòu)尚未建立有效的防范計算機病毒或網(wǎng)絡(luò)攻擊的聯(lián)合性技術(shù)應(yīng)對組織,更多地是單一機構(gòu)的單一應(yīng)對,建立國家層面的金融業(yè)務(wù)連續(xù)性管理治理應(yīng)急體系,組建特定專家團隊,模擬重大突發(fā)事件,形成快速技術(shù)攻關(guān),防范大范圍計算機病毒植入和網(wǎng)絡(luò)攻擊的準備還存在不足。特別是聯(lián)動各家金融機構(gòu)的重大基礎(chǔ)設(shè)施,其系統(tǒng)健壯性、系統(tǒng)防攻擊能力、系統(tǒng)連續(xù)性運營能力將直接關(guān)系金融服務(wù)穩(wěn)定性,作為中間樞紐,一旦出現(xiàn)系統(tǒng)中斷,影響面巨大,且容易成為業(yè)務(wù)恢復(fù)與連續(xù)運營的瓶頸。
客戶信息保護應(yīng)急處理面臨嚴峻挑戰(zhàn)。近幾年,大量的第三方支付、大量的網(wǎng)絡(luò)平臺、大量的APP應(yīng)用工具形成了巨大的客戶信息泄露風(fēng)險敞口,客戶基礎(chǔ)信息與金融信息的聯(lián)動性也越來越強。普通金融消費者無力保護自身信息,或為了相關(guān)服務(wù),無奈放棄信息保護。及早健全完善客戶信息保護,已成為金融消費者權(quán)益保護的重要內(nèi)容和亟待加強管理的風(fēng)險隱患,目前,相關(guān)的管理機制與控制措施還不夠完善。
重大突發(fā)事件的監(jiān)測預(yù)警不足。目前,各金融機構(gòu)對于重大突發(fā)事件,特別是針對信息系統(tǒng)運營風(fēng)險的監(jiān)測預(yù)警機制還需要持續(xù)完善,相對而言,更注重業(yè)務(wù)產(chǎn)品的系統(tǒng)開發(fā),對系統(tǒng)穩(wěn)定運營監(jiān)測的科技投入不夠。信息科技風(fēng)險及重大突發(fā)事件監(jiān)測預(yù)警的手段、工具還存在一些短板,各機構(gòu)監(jiān)測預(yù)警能力參差不齊,快速反應(yīng)能力參差不齊。
重大突發(fā)事件的信息共享不足。雖然監(jiān)管機構(gòu)組織建立了金融機構(gòu)重大突發(fā)事件報告機制,但金融機構(gòu)間缺乏信息共享的平臺和機制化的溝通渠道,由于擔心出現(xiàn)事故與丑聞,單一機構(gòu)一般會自我保護、自我封閉信息,相關(guān)機構(gòu)難以舉一反三,及時排查隱患或組織應(yīng)對。應(yīng)對重大突發(fā)事件信息共享的方式、渠道、內(nèi)容、范圍還有待進一步明確。與重大突發(fā)事件相關(guān)的輿情信息處理也需要進一步統(tǒng)籌,機構(gòu)間的輿情溝通和信息共享也需要同步完善,以避免引起金融消費者群體性恐慌。
加強金融機構(gòu)業(yè)務(wù)連續(xù)性管理的策略建議
加強金融機構(gòu)業(yè)務(wù)連續(xù)性管理是一項系統(tǒng)工程,需要監(jiān)管機構(gòu)、重大金融基礎(chǔ)設(shè)施機構(gòu)、金融企業(yè)、信息科技公司、網(wǎng)絡(luò)運營商等通力合作,建立整合性預(yù)防運行機制,防患于未然。
進一步重檢完善重要業(yè)務(wù)系統(tǒng)應(yīng)急預(yù)案,管理更精細。各成員主體、市場主體都需要進一步重檢應(yīng)急預(yù)案,重點解決有原則無規(guī)則,有規(guī)則無執(zhí)行的形式化預(yù)案,補充細化相關(guān)內(nèi)容,提高應(yīng)急預(yù)案完備性。重點補充完善技術(shù)預(yù)案與業(yè)務(wù)預(yù)案的有機銜接,形成互動;重點補充完善總部預(yù)案與基層機構(gòu)應(yīng)急預(yù)案的有機銜接,補充完善內(nèi)部系統(tǒng)與外部系統(tǒng)的應(yīng)急銜接。建立規(guī)范化的應(yīng)急預(yù)案重檢時限,定期不定期重檢,形成常態(tài)化的重檢修訂工作機制。強化應(yīng)急預(yù)案的實際可操作性論證與實施,連續(xù)性管理更為精細化。
進一步加強應(yīng)急演練,場景更具體。應(yīng)急預(yù)案演練是有效檢驗預(yù)案完備性的重要手段,應(yīng)急演練是增強應(yīng)急意識、提高應(yīng)急效率和能力的基礎(chǔ)保證。重大業(yè)務(wù)系統(tǒng)必須進行應(yīng)急演練,首先保證單一系統(tǒng)的應(yīng)急處理。加強系統(tǒng)間聯(lián)動性演練,必要時,由金融機構(gòu)監(jiān)管部門統(tǒng)一協(xié)調(diào),組織大規(guī)模的金融機構(gòu)間、重要金融基礎(chǔ)設(shè)施聯(lián)動應(yīng)急演練,查找短板和不足,進一步落實應(yīng)急管理責任,完善管理措施。不斷加強應(yīng)急演練的監(jiān)督檢查,對于應(yīng)急演練流于形式的,進行違規(guī)處置和必要的監(jiān)管處罰。各金融機構(gòu)應(yīng)急演練要模擬更為具體化的突發(fā)事件場景,如系統(tǒng)數(shù)據(jù)庫癱瘓、大范圍計算機病毒傳染、嚴重黑客入侵等,實施分類演練,綜合演練,內(nèi)外聯(lián)動演練,使應(yīng)急演練更具針對性、有效性、實操性。
進一步完善金融機構(gòu)應(yīng)急治理和管理體系,聯(lián)防聯(lián)控更緊密。從監(jiān)管層面將金融業(yè)務(wù)連續(xù)性管理納入金融治理體系與治理能力現(xiàn)代化管理的范圍,進一步提升金融信息科技風(fēng)險管理層級。組織市場主體、金融機構(gòu)完善治理架構(gòu)和管理體系,完善應(yīng)急處理內(nèi)容、流程、工具與方式。規(guī)范細化金融機構(gòu)間、機構(gòu)主體間聯(lián)防聯(lián)控工作機制,明確責任主體、監(jiān)督主體與責任范圍,進一步細化和豐富聯(lián)防聯(lián)治工作措施和應(yīng)急手段,形成體制、機制與措施的有力保障。
進一步加強重大突發(fā)事件監(jiān)測的科研投入,預(yù)警更及時。各金融機構(gòu)要進一步加大對系統(tǒng)運營管理的科技投入,在人員配備、科技研發(fā)、工具創(chuàng)新等方面強化IT系統(tǒng)運營風(fēng)險監(jiān)測預(yù)警。充分運用新技術(shù)手段加強風(fēng)險監(jiān)測,提前預(yù)警。進一步規(guī)范重要業(yè)務(wù)系統(tǒng)開發(fā)文檔、技術(shù)文檔、開發(fā)人員的連續(xù)性管理,避免由于人員變動、系統(tǒng)遷移形成斷檔,避免由于系統(tǒng)升級或優(yōu)化,對底層架構(gòu)、基礎(chǔ)數(shù)據(jù)庫缺乏有效的連續(xù)性管理。系統(tǒng)運營管理要與系統(tǒng)開發(fā)形成互動,有機銜接,對關(guān)鍵風(fēng)險控制節(jié)點要預(yù)設(shè)預(yù)警功能,增強對系統(tǒng)早期風(fēng)險信號的敏感性,提升預(yù)警處理的及時性。
進一步完善政策引導(dǎo),加強災(zāi)備基礎(chǔ)設(shè)施建設(shè)和人才培養(yǎng),應(yīng)急管理更超前。近幾年,金融機構(gòu)不斷加大信息技術(shù)投入,但針對災(zāi)備建設(shè)還存在短板,災(zāi)備建設(shè)標準較低或規(guī)范性不足,相關(guān)政策配套支持較少。中小金融機構(gòu)的災(zāi)備建設(shè)更是存在先天不足和諸多問題。從監(jiān)管層面和財政政策層面,建議對金融機構(gòu)災(zāi)備建設(shè)預(yù)算投入能夠單獨核批,出臺相應(yīng)配套政策支持,在有限的財務(wù)資源中安排必要的災(zāi)備建設(shè)資金,加大災(zāi)備基礎(chǔ)設(shè)施建設(shè)。在風(fēng)險撥備中明確信息科技風(fēng)險撥備覆蓋,引導(dǎo)金融機構(gòu)對小概率大風(fēng)險事件建立儲備資金。災(zāi)備建設(shè)要明確建設(shè)標準,進行必要的切換演練,形成真正管用的災(zāi)難應(yīng)急。
監(jiān)管機構(gòu)、金融機構(gòu)要組織加強信息安全人才隊伍建設(shè)和培養(yǎng),形成梯隊,形成組合。要建立機構(gòu)間的人才信息共享、技術(shù)聯(lián)合開發(fā)等機制,持續(xù)加強信息科技風(fēng)險安全防控軟硬件的研發(fā),跟進新技術(shù)、新工具的應(yīng)用與發(fā)展,不斷創(chuàng)新,筑牢應(yīng)對重大突發(fā)事件的業(yè)務(wù)與技術(shù)防線,全面提升風(fēng)險防控與風(fēng)險化解能力。